Panda Software - Report settimanale sul Malware

Questa settimana il report sul malware dei Laboratori di Panda Software richiama l’attenzione sul Trojan Artesimda, sul worm Rinbot.Q, il quale sfrutta diverse vulnerabilità per diffondersi, oltre che sul nuovo attacco combinato portato da membri della famiglia Spamta.

Quando il Trojan SpamtaLoad.DW raggiunge un computer, scarica il worm Spamta.WF, che raccoglie tutti gli indirizzi dei destinatari di posta elettronica archiviati nel PC, ai quali invia un messaggio che include SpamtaLoad.DW. Il soggetto e il contenuto dell’e-mail che nasconde il Trojan è variabile. Nell’oggetto si possono trovare parole come: Error, Good day, hello, etc.; mentre il file allegato ha nomi come body, data o doc, e una gamma di estensioni diverse (.msg, .txt). SpamtaLoad.DW viene installato con un’icona di testo, sebbene in realtà sia un file eseguibile: l’obiettivo è quello di invogliare ad aprile il documento e far funzionare inavvertitamente il Trojan, che mostra un messaggio di errore per confondere l’utente. Rinbot.Q utilizza due vulnerabilità di Windows, una che riguarda i Server DNS, l’altra il processo Local Security Authority Subsystem – LSASS. Questo worm ha caratteristiche di downloader che gli permettono di scaricare altro malware nel computer colpito. Quando opera Rinbot.Q controlla il sistema per verificare la presenza di programmi di monitoraggio della rete e, se li trova, li cancella. Inoltre, blocca diversi tool per il rilevamento dei rootkit, in modo da rendere ancora più difficile la sua scoperta, può diffondersi attraverso drive di rete condivisi e alterare il registro di Windows per assicurarsi di funzionare ogni volta che il computer viene avviato.